Présentation

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements anormaux, afin de protéger vos comptes AWS, vos charges de travail et vos données stockées dans Amazon Simple Storage Service (Amazon S3). GuardDuty utilise plusieurs techniques pour identifier les indicateurs de compromission, comme le machine learning (ML), la détection des anomalies et le renseignement intégré sur les menaces pour identifier et hiérarchiser les menaces potentielles. GuardDuty est capable d'analyser des dizaines de milliards d'événements dans plusieurs sources de données AWS, telles que les journaux d'événements AWS CloudTrail, les journaux de flux Amazon Virtual Private Cloud (VPC) et les journaux de requêtes DNS. 

Amazon GuardDuty identifie les activités inhabituelles au sein de vos comptes, analyse la pertinence de ces activités en termes de sécurité et indique le contexte dans lequel elles ont été invoquées. Cela permet à l'intervenant de déterminer s'il doit consacrer du temps à un examen plus approfondi. Une gravité est attribuée aux résultats de GuardDuty, et des actions peuvent être automatisées en intégrant AWS Security Hub, Amazon EventBridge, AWS Lambda et AWS Step Functions. Amazon Detective est également étroitement intégré à GuardDuty, de sorte qu'il n'a jamais été aussi facile de mener des enquêtes approfondies sur les causes profondes.

Détection précise des menaces au niveau du compte

Amazon GuardDuty vous permet de détecter avec précision les menaces de comptes compromis, ce qui peut être difficile à détecter rapidement si vous ne contrôler pas en permanence les facteurs en quasi temps réel. GuardDuty peut détecter les signes de compromission d'un compte, comme l'accès aux ressources AWS à partir d'un lieu géographique inhabituel et à une heure atypique de la journée. Pour les comptes AWS accessibles par programmation, GuardDuty vérifie les appels d'interface de programme d'application (API) inhabituels, tels que les tentatives de masquer l'activité du compte en désactivant la journalisation CloudTrail ou en créant des instantanés d'une base de données à partir d'une adresse IP malveillante.

Surveillance continue gratuite et simplifiée des comptes AWS

Amazon GuardDuty surveille et analyse en permanence les données d'événement de vos comptes et charges de travail AWS disponibles dans AWS CloudTrail, les journaux de flux VPC et les journaux DNS. Il n'est pas nécessaire de déployer et de maintenir un logiciel ou une infrastructure de sécurité supplémentaire. En associant vos comptes AWS ensemble, vous pouvez regrouper la détection des menaces au lieu de travailler compte par compte. En outre, vous n'avez pas à collecter, analyser et corréler de gros volumes de données AWS provenant de plusieurs comptes. Concentrez-vous sur la manière de réagir rapidement, de sécuriser votre organisation et de continuer à évoluer et à innover sur AWS.

Détecteurs de menaces développés et optimisés pour le cloud

Amazon GuardDuty vous donne accès à des techniques de détection intégrées, développées et optimisées pour le cloud. AWS Security maintient et améliore en permanence ces algorithmes de détection. Les principales catégories de détection sont les suivantes :

Reconnaissance : activité suggérant une reconnaissance par un attaquant, telle qu'une activité API inhabituelle, une analyse de port intra-VPC, des schémas inhabituels de demande de connexion ayant échoué ou un sondage de port non bloqué à partir d'une adresse IP malveillante connue.

Instance compromise : activité indiquant une compromission de l'instance, telle que le minage de crypto-monnaies, l'activité de commande et de contrôle (C&C) par porte dérobée, les logiciels malveillants utilisant des algorithmes de génération de domaine (DGA), l'activité de déni de service sortant, un volume de trafic réseau anormalement élevé, des protocoles réseau inhabituels, la communication sortante de l'instance avec une adresse IP malveillante connue, des informations d'identification Amazon EC2 temporaires utilisées par une adresse IP externe et l'exfiltration de données à l'aide de DNS.

Compte compromis : les modèles courants indiquant une compromission de compte comprennent les appels d'API à partir d'une géolocalisation inhabituelle ou d'un proxy d'anonymisation, les tentatives de désactivation de la journalisation AWS CloudTrail, les changements qui affaiblissent la politique de mot de passe du compte, les lancements inhabituels d'instances ou d'infrastructures, les déploiements d'infrastructures dans une région inhabituelle et les appels d'API à partir d'adresses IP malveillantes connues.

Compartiment compromis : activité indiquant une compromission de compartiment, telle que des modèles d'accès aux données suspects indiquant une mauvaise utilisation des informations d'identification, une activité inhabituelle d'API Amazon S3 à partir d'un hôte distant, un accès non autorisé à S3 à partir d'adresses IP malveillantes connues, et des appels d'API pour récupérer des données dans des compartiments S3 à partir d'un utilisateur sans historique d'accès au compartiment ou effectués à partir d'un emplacement inhabituel. Amazon GuardDuty contrôle et analyse en permanence les événements de données S3 AWS CloudTrail (par exemple, GetObject, ListObjects, DeleteObject) pour détecter toute activité suspecte dans tous vos compartiments Amazon S3.

Cliquez ici pour obtenir la liste complète des types de résultats GuardDuty.

GuardDuty offre ces détections avancées en utilisant le machine learning et la détection d'anomalies pour identifier des menaces auparavant difficiles à trouver, comme des modèles d'appels d'API inhabituels ou des comportements malveillants d'utilisateurs AWS Identity and Access Management (IAM). GuardDuty dispose également du renseignement intégré sur les menaces, qui comprennent des listes de domaines ou d'adresses IP malveillants provenant d'AWS Security et de partenaires de sécurité tiers de premier plan, notamment Proofpoint et CrowdStrike.

GuardDuty vous offre une alternative à la création de solutions internes, à la gestion de règles personnalisées complexes ou au développement de vos propres renseignements sur les menaces liées aux adresses IP malveillantes connues. GuardDuty supprime les tâches fastidieuses et la complexité inutile associées à la surveillance et à la protection de vos comptes et charges de travail AWS.

Classement des menaces selon leur niveau de gravité pour une hiérarchisation efficace

Amazon GuardDuty fournit trois niveaux de gravité (faible, moyen et élevé) pour aider les clients à hiérarchiser leur réponse aux menaces potentielles. Un « faible » niveau de gravité indique une activité suspecte ou malveillante qui a été bloquée avant de pouvoir compromettre votre ressource. Un niveau de gravité « moyen » correspond à une activité suspecte, Par exemple, une grande quantité de trafic renvoyé vers un hôte distant se cachant derrière le réseau Tor, ou une activité qui s'écarte du comportement normalement observé. Un niveau de gravité « élevé » indique que la ressource en question (par exemple, une instance Amazon EC2 ou un ensemble d'informations d'identification d'utilisateur IAM) est compromise et est activement utilisée à des fins non autorisées.

Automatisation des réponses aux menaces et des mesures de correction

Amazon GuardDuty offre des API HTTPS, des outils d'interface de ligne de commande (CLI) et Amazon CloudWatch Events pour prendre en charge les réponses de sécurité automatisées aux résultats de sécurité. Par exemple, vous pouvez automatiser le flux de réponses en utilisant CloudWatch Events comme source d'événements pour déclencher une fonction AWS Lambda.

Détection des menaces hautement disponible

Amazon GuardDuty est conçu pour gérer automatiquement l'utilisation des ressources en fonction des niveaux d'activité globale de vos comptes AWS, des charges de travail et des données stockées dans Amazon S3. GuardDuty ajoute de la capacité de détection uniquement lorsque cela est nécessaire, et réduit l'utilisation lorsque la capacité n'est plus nécessaire. Vous disposez maintenant d'une architecture économique qui maintient la puissance de traitement de sécurité dont vous avez besoin tout en réduisant les dépenses. Vous ne payez que la capacité de détection que vous utilisez, quand vous l'utilisez. GuardDuty vous offre une sécurité à grande échelle, quelle que soit votre taille.

Déploiement en un clic, sans logiciel ou infrastructure supplémentaire à déployer et à gérer

Vous pouvez activer Amazon GuardDuty sur un compte en un clic dans la console de gestion AWS ou à l'aide d'un simple appel d'API. Avec quelques clics supplémentaires dans la console, vous pouvez activer GuardDuty sur plusieurs comptes. Amazon GuardDuty prend en charge plusieurs comptes par le biais de l'intégration d'AWS Organizations, ainsi que dans GuardDuty lui-même. Une fois activé, GuardDuty commence immédiatement à analyser les flux continus d'activité des comptes et des réseaux en quasi temps réel et à grande échelle. Vous n'avez pas besoin de déployer ou de gérer d'autres logiciels de sécurité, capteurs ou dispositifs réseau. Le service préintègre des renseignements sur les menaces qui sont gérés et mis à jour en continu.

Standard Product Icons (Features) Squid Ink
En savoir plus sur la tarification du produit

Consultez les exemples de tarification et les modalités de l'essai gratuit.

En savoir plus 
Sign up for a free account
Inscrivez-vous pour un essai gratuit.

Bénéficiez d'un essai gratuit d'Amazon GuardDuty. 

Démarrez un essai gratuit. 
Standard Product Icons (Start Building) Squid Ink
Commencez à créer sur la console.

Commencez à créer sur la console AWS avec Amazon GuardDuty.

Se connecter